正文

phpMyAdmin up to 4.0.4.1 Parameter Validation schema_export.php SQL注入

admin
admin V管理员 /0 评论 /21 阅读
0410
此篇文章发布距今已超过1180天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2013-5003

利用情况

漏洞武器化

补丁情况

官方补丁

披露时间

2013-08-01
漏洞描述
phpMyAdmin是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具。
phpMyAdmin存在多个SQL注入漏洞。由于程序未能正确过滤用户提供的输入,攻击者可以利用漏洞危及应用程序,访问或修改数据,或利用底层数据库中潜在的漏洞。

解决建议
用户可联系供应商获得补丁信息:
http://www.phpmyadmin.net/home_page/index.php
参考链接
http://secunia.com/advisories/59832
http://www.phpmyadmin.net/home_page/security/PMASA-2013-15.php
http://www.securityfocus.com/bid/61923
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 phpmyadmin phpmyadmin 3.5.0.0 -
运行在以下环境
应用 phpmyadmin phpmyadmin 3.5.1.0 -
运行在以下环境
应用 phpmyadmin phpmyadmin 3.5.2.0 -
运行在以下环境
应用 phpmyadmin phpmyadmin 3.5.2.1 -
运行在以下环境
应用 phpmyadmin phpmyadmin 3.5.2.2 -
运行在以下环境
应用 phpmyadmin phpmyadmin 3.5.3.0 -
运行在以下环境
应用 phpmyadmin phpmyadmin 3.5.4 -
运行在以下环境
应用 phpmyadmin phpmyadmin 3.5.5 -
运行在以下环境
应用 phpmyadmin phpmyadmin 3.5.6 -
运行在以下环境
应用 phpmyadmin phpmyadmin 3.5.7 -
运行在以下环境
应用 phpmyadmin phpmyadmin 3.5.8 -
运行在以下环境
应用 phpmyadmin phpmyadmin 3.5.8.1 -
运行在以下环境
应用 phpmyadmin phpmyadmin 4.0.0 -
运行在以下环境
应用 phpmyadmin phpmyadmin 4.0.1 -
运行在以下环境
应用 phpmyadmin phpmyadmin 4.0.2 -
运行在以下环境
应用 phpmyadmin phpmyadmin 4.0.3 -
运行在以下环境
应用 phpmyadmin phpmyadmin 4.0.4 -
运行在以下环境
应用 phpmyadmin phpmyadmin 4.0.4.1 -
运行在以下环境
系统 debian_6 phpMyAdmin * Up to
(excluding)
4:3.3.7-8
运行在以下环境
系统 debian_7 phpMyAdmin * Up to
(excluding)
4:3.4.11.1-2+deb7u1
运行在以下环境
系统 fedora_EPEL_5 phpMyAdmin * Up to
(excluding)
4.0.10.3-2.el5
运行在以下环境
系统 fedora_EPEL_6 phpMyAdmin * Up to
(excluding)
4.0.10.1-1.el6
阿里云评分 8.7
  • 攻击路径 远程
  • 攻击复杂度 容易
  • 权限要求 普通权限
  • 影响范围 全局影响
  • EXP成熟度 漏洞武器化
  • 补丁情况 官方补丁
  • 数据保密性 无影响
  • 数据完整性 传输被破坏
  • 服务器危害 服务器失陷
  • 全网数量 N/A
CWE-ID 漏洞类型 CWE-89 SQL命令中使用的特殊元素转义处理不恰当(SQL注入)